长春工业大学2016防火墙实训分析报告.docVIP

2015/2016 第二学期 应用技术学院认识实习报告 学 院： 应用技术 专 业： 信息安全 姓 名： 陈济泽 指导教师： 杨明 题 目：华为 Secospace USG6000 防火墙 实训时间： 2016年6月27日—2016年7月1日 目录 一.防火墙概述 4 二.传统防火墙的基本类型 4 2.1 包过滤技术 5 2.2 状态检测技术 8 2.3网络地址转化—NAT 9 2.4应用代理 9 三.防火墙的体系结构 10 3.1 屏蔽路由器 10 3.2双穴主机网关 10 3.3.被屏蔽主机网关 10 3.4.被屏蔽子网 10 四.防火墙的发展趋势 11 4.1新需求引发的技术走向 11 4.2.黑客攻击引发的技术走向 11 五.下一代防火墙 12 5.1 网络威胁的变化及下一代防火墙产生 12 5.2 下一代防火墙的定义 12 5.3 防火墙设备的使用指南 13 六.防火墙技术 14 6.1防火墙的可靠性设计 14 6.2 防火墙的性能模型 15 6.3 网络隔离 15 6.4访问控制 16 6.5基于流的状态检测技术 16 6.6基于用户的管控能力 17 6.7 基于应用的管控能力 17 6.8应用层的威胁防护 17 6.9业务支撑能力 17 6.10 地址转换能力 17 6.11 攻击防范能力 18 6.12 防火墙的组网适应能力 18 6.13 VPN 业务 19 6.14 防火墙管理系统 19 七.华为 Secospace USG6000 19 7.1软件技术 19 7.1.1双机备份技术 20 7.1.2热备份技术 20 7.1.3链路备份技术 20 7.1.4双向转发检测(BFD) 20 7.1.5华为防火墙可靠性技术优势 20 7.2 灵活的安全区域管理 21 7.3 安全策略控制 22 7.4基于会话管理的核心技术 23 一防火墙概述　　防火墙是指一种将内部网络和外部网络分开的方法，实际上是一种隔离控制技术。在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以阻止保密信息从受保护网络上被非法输出。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯受保护网络的目的。防火墙是在两个网络通讯时执行的一种访问控制尺度，它对两个网络之问传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之问的通信是否被允许：其中被保护的网络称为内部网络，未保护的网络称为外部网络或公用网络。应用防火墙时，首先要明确防火墙的缺省策略，是接受还是拒绝。如果缺省策略是接受，那么没有显式拒绝的数据包可以通过防火墙;如果缺省策略是拒绝，那么没有显式接受的数据包不能通过防火墙。显然后者的安全性更高。 防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络问不受欢迎的信息交换，而允许那些可接受的通信。从逻辑上讲，防火墙是分离器、限制器、分析器;从物理上讲，防火墙由一组硬件设备(路由器、主计算机或者路由器、主计算机和配有适当软件的网络的多种组合)和适当的软件组成 图1放火墙技术发展历程 二防火墙的基本类型 防火墙的基本类型包括包过滤、网络地址转化—NAT、应用代理和状态检测。 图2放火墙基本模型 2.1 包过滤技术 包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（Static Packet Filtering），使用包过滤技术的防火墙通常工作在OSI模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering）增加了传输层（Transport Layer），简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。也许你会想，让用户自行添加不行吗？但是别忘了，我们要为是普通计算机用户考虑，并不是所有人都了解网络协议的，如果防火墙工具出现了过滤遗漏问题，他们只能等着被入侵了。一些公司采用定期从网络升级过